第十一周作业

1、详细描述一次加密通讯的过程,结合图示最佳。

发送者:

    1)使用单向加密算法提取要发送文件的特征码;

    2)使用自己的私钥加密特征码并附加在数据后面;

    3)生成用于对称加密的临时密码;

    4)用此临时密钥加密数据和已经使用私钥加密后的特征码;

    5)使用接收方的公钥加密此临时密钥,附加在对称加密后的数据后方。

接收方:

    1)使用自己的私钥解密加密后的临时密钥,从而获得对称密钥;

    2)使用对称密钥解密对称加密的数据和私钥加密的特征码密文,从而获得数据和特征码密文;

    3)使用发送方的公钥解密特征码密文,从而获得特征码明文;

    4)使用与对方同样的单向加密算法计算数据的特征码,并与解密而来的进行比较。

第十一周作业

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行颁发证书。

创建私有CA:

    1)生成私钥;

    2)生成自签署证书;

        (1)私钥用于签发证书时,向证书添加数字签名使用;

        (2)证书:每个通信方都导入此证书至“受信任的证书颁发机构”。

为客户端颁发证书:

    1)客户端申请证书

    在证书申请的主机上进行如下步骤:

        (1)生成私钥;

        (2)生成证书签署请求;

        (3)把请求发送给CA。

    2)CA签发证书

        (1)验证请求者信息;

        (2)签署证书;

        (3)把签署好的证书发还给请求者。

3、描述DNS查询过程以及DNS服务器类别。

第十一周作业

DNS查询过程:

    1)本地客户端先查询本地hosts文件,看是否有www.magedu.com主机与ip的对应关系,若有,则直接使用;若没有,则进行第2步;

    2)此时客户端向指定的本地DNS服务器(假设为NS1)发起请求,NS1在收到来自客户端的请求后,会先去查询本地的缓存记录,如果有www.magedu.com记录,则 直接反馈给客户端;若没有,则进行第3步;

    3)此时本地DNS1服务器会主动向根域服务器发起查询www.magedu.com的请求,但是由于根域服务器只记录了.com域服务器的相关信息,此时根会告诉NS1:我这里没有www.magedu.com的记录,但我有.com域的信息,你可以去.com域服务器去查询,并告知.com域服务器的地址;

    4)于是NS1就根据根域服务器告知的.com域地址向.com发起查询www.magedu.com的请求,由于.com域服务器只记录了magedu.com的记录,但没有www主机的记录,因此就告知NS1服务器说:我这里没有www.magedu.com的具体解析记录,但我知道magedu.com的地址,你可以去向magedu.com查询;

    5)接着NS1就根据.com告知的magedu.com的地址向magedu.com发起了查询www.magedu.com的请求,于是magedu.com就去查询本地的记录,找到了www主机对应的IP地址,于是将www.magedu.com的IP地址反馈给NS1;

    6)NS1在收到具体的结果后,会先将结果存储在本地DNS缓存当中,以方便如有下次相同的解析请求时能够快速响应,之后再将结果直接反馈给客户端,完成解析。

DNS服务器类型:
负责解析至少一个域:
    1)主名称服务器;
    2)辅助名称服务器;
不负责解析:
    1)缓存名称服务器;

4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
  (1)、能够对一些主机名进行正向解析和逆向解析;
  (2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;

  (3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程

环境:

主DNS服务器:192.168.0.11

从DNS服务器:192.168.0.21

子域DNS服务器:192.168.0.12

******1. 正反向解析******

1)安装DNS服务器软件

~]# yum install bind* -y

2)编辑配置,添加magedu.com的正向域和反向域

~]# vim /etc/named.conf
options {
    listen-on port 53 { any; };
    allow-query     { any; };
.
.
.
zone "magedu.com" IN {
    type master;
    file "magedu.com.zone";
};

zone "0.168.192.in-addr.arpa" IN {
    type master;
    file "named.192.168.0";
};
.
.
.

3)创建正向域数据库文件

~]# vim /var/named/magedu.com.zone
$TTL 86400
$ORIGIN magedu.com.
@       IN          SOA         ns1.magedu.com          dnsadmin.magedu.com.    (
                    2017032001
                    1H
                    10M
                    3D
                    1D  )
        IN          NS          ns1
ns1     IN          A           192.168.0.11
www     IN          A           192.168.0.11
bbs     IN          A           192.168.0.12

4)创建反向域数据库文件

$TTL 86400
$ORIGIN 0.168.192.in-addr.arpa.
@       IN          SOA         ns1.magedu.com          dnsadmin.magedu.com.    (
                    2017032001
                    1H
                    10M
                    3D
                    1D  )
        IN          NS          ns1.magedu.com.
11      IN          PTR         ns1.magedu.com.
11      IN          PTR         www.magedu.com.
12      IN          PTR         bbs.magedu.com.

5)修改数据库文件权限

]# chown root.named magedu.com.zone named.192.168.0
]# chmod 640 magedu.com.zone named.192.168.0 

6)配置和语法检查

]# named-checkconf
]# named-checkzone magedu.com /var/named/magedu.com.zone 
zone magedu.com/IN: loaded serial 2017032001
OK
]# named-checkzone  0.168.192.in-addr.arpa /var/named/named.192.168.0 
zone 0.168.192.in-addr.arpa/IN: loaded serial 2017032001
OK

7)重载配置文件和域数据库文件

]# systemctl reload named.service

8)结果验证

]# dig -t A bbs.magedu.com

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -t A bbs.magedu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12637
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;bbs.magedu.com.                        IN      A

;; ANSWER SECTION:
bbs.magedu.com.         86400   IN      A       192.168.0.12             #能正确解析到bbs.magedu.com

;; AUTHORITY SECTION:
magedu.com.             86400   IN      NS      ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.         86400   IN      A       192.168.0.11

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Mar 19 21:39:00 EDT 2017
;; MSG SIZE  rcvd: 93

]# dig -x 192.168.0.12

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -x 192.168.0.12
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6916
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;12.0.168.192.in-addr.arpa.     IN      PTR

;; ANSWER SECTION:
12.0.168.192.in-addr.arpa. 86400 IN     PTR     bbs.magedu.com.       #能正确反解析

;; AUTHORITY SECTION:
0.168.192.in-addr.arpa. 86400   IN      NS      ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.         86400   IN      A       192.168.0.11

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Mar 19 21:39:31 EDT 2017
;; MSG SIZE  rcvd: 116

******2. 子域授权******

9)在子域DNS服务器配置文件中添加下列配置

]# vim /etc/named.rfc1912.zones
.
.
.
zone "cdn.magedu.com" IN {
    type master;
    file "cdn.magedu.com.zone";
};

zone "magedu.com" IN {
    type forward;
    forward only;
    forwarders { 192.168.0.11; };
};

10)在子域DNS服务器上创建域数据库文件

]# vim cdn.magedu.com.zone
$TTL 3600
$ORIGIN cdn.magedu.com.
@       IN      SOA     ns1.cdn.magedu.com.     nsadmin.cdn.magedu.com. (
                2017032001
                1H
                10M
                1D
                2H  )
        IN      NS      ns1
ns1     IN      A       192.168.0.12
www     IN      A       192.168.0.13

11)修改域数据库文件权限

]# chmod 640 cdn.magedu.com.zone 
]# chown root.named cdn.magedu.com.zone

12)配置和语法检查

]# named-checkconf 
]# named-checkzone cdn.magedu.com /var/named/cdn.magedu.com.zone 
zone cdn.magedu.com/IN: loaded serial 2017032001
OK

13)在父域DNS的域数据库文件中添加子域DNS的相关信息

]# vim /var/named/magedu.com.zone
.
.
.
cdn     IN          NS          ns1.cdn
ns1.cdn IN          A           192.168.0.12

14)重载子域DNS和父域DNS的配置和域数据库文件

]# rndc reload
server reload successful

15)结果验证

]# dig -t A www.cdn.magedu.com @192.168.0.11          #通过父域进行解析

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -t A www.cdn.magedu.com @192.168.0.11
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50092
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.cdn.magedu.com.            IN      A

;; ANSWER SECTION:
www.cdn.magedu.com.     3150    IN      A       192.168.0.13          #解析到子域www服务器,说明子域授权成功

;; AUTHORITY SECTION:
cdn.magedu.com.         3150    IN      NS      ns1.cdn.magedu.com.

;; ADDITIONAL SECTION:
ns1.cdn.magedu.com.     3150    IN      A       192.168.0.12

;; Query time: 3 msec
;; SERVER: 192.168.0.11#53(192.168.0.11)
;; WHEN: Mon Mar 20 09:53:23 EDT 2017
;; MSG SIZE  rcvd: 97

******3. 主从同步******

16)在从DNS服务器的配置文件中添加下列配置:

~]# vim /etc/named.conf
options {
    listen-on port 53 { any; };
    allow-query     { any; };
.
.
.
zone "magedu.com" IN {
        type slave;
        file "slaves/magedu.com.zone";
        masters { 192.168.0.11; };
};

17)在主DNS服务上修改配置文件,允许从服务器与主服务器同步

]# vim /etc/named.conf
zone "magedu.com" IN {
    type master;
    file "magedu.com.zone";
    allow-transfer { 192.168.0.21; };
};

18)在主DNS服务器上的域数据库文件中添加从DNS服务器的相关信息

]# vim /var/named/magedu.com.zone
.
.
.
        IN          NS          slave
slave   IN          A           192.168.0.21
.
.
.

19)重载主从服务器上的配置

]# rndc reload            
server reload successful

20)主从同步测试

]# vim magedu.com.zone
$TTL 86400
$ORIGIN magedu.com.
@       IN          SOA         ns1.magedu.com          dnsadmin.magedu.com.    (
                    2017032002           #每更改一次序列号要加1
                    1H
                    10M
                    3D
                    1D  )
        IN          NS          ns1
        IN          NS          slave
slave   IN          A           192.168.0.21
ns1     IN          A           192.168.0.11
www     IN          A           192.168.0.11
bbs     IN          A           192.168.0.12
cdn     IN          NS          ns1.cdn
ns1.cdn IN          A           192.168.0.12
blog    IN          A           192.168.0.14              #新添加一个条目

]# rndc reload                    #重载配置生效
server reload successful

#在从DNS服务器上观察系统日志,发现已经有同步信息
]# tail -f /var/log/messages
Mar 19 21:37:06 centos6 named-sdb[4223]: zone magedu.com/IN: transferred serial 2017032002
Mar 19 21:37:06 centos6 named-sdb[4223]: transfer of 'magedu.com/IN' from 192.168.0.11#53: Transfer completed: 1 messages, 11 records, 293 bytes, 0.005 secs (58600 bytes/sec)
Mar 19 21:37:06 centos6 named-sdb[4223]: zone magedu.com/IN: sending notifies (serial 2017032002)

]# cd /var/named/slaves/
]# cat magedu.com.zone 
$ORIGIN .
$TTL 86400      ; 1 day
magedu.com              IN SOA  ns1.magedu.com.magedu.com. dnsadmin.magedu.com. (
                                2017032002 ; serial
                                3600       ; refresh (1 hour)
                                600        ; retry (10 minutes)
                                259200     ; expire (3 days)
                                86400      ; minimum (1 day)
                                )
                        NS      ns1.magedu.com.
                        NS      slave.magedu.com.
$ORIGIN magedu.com.
bbs                     A       192.168.0.12
blog                    A       192.168.0.14             #主DNS上新增的条目已经同步过来了
ns1                     A       192.168.0.11
ops                     NS      ns1.ops
$ORIGIN ops.magedu.com.
ns1                     A       192.168.0.12
$ORIGIN magedu.com.
slave                   A       192.168.0.21
www                     A       192.168.0.11

原创文章,作者:N26-西安-方老喵,如若转载,请注明出处:http://www.178linux.com/71282

评论列表(1条)

  • 马哥教育
    马哥教育 2017-03-30 14:24

    非常到位,很棒。